Guide

GDPR: cosa fare per essere a norma e non incorrere in sanzioni?

Il 25 maggio 2018 entrerà in vigore la nuova legge sulla privacy a livello europeo, il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Se stai pensando cosa fare in merito al GDPR, continua a leggere!

Nuova legge privacy: GDPR

Il RGDP (Regolamento generale sulla protezione dei dati) – o GDPR in inglese – è un regolamento direttamente applicabile in tutti i Paesi membri dell’Unione Europea e che, per quanto riguarda l’Italia, sostituisce il Codice della Privacy (Dlgs 196/2003). Questo nuovo regolamento è il frutto di un percorso iniziato anni fa e con la presentazione, nel gennaio del 2012, da parte della Commissione europea del “pacchetto protezione dati”.

Ti invito a guardare la mia intervista all’Avvocato Alberto Leoncini e per qualsiasi domanda a contattarlo direttamente:

Il Regolamento generale sulla protezione dei dati introduce regole più precise per quanto riguarda l’informazione dovuta agli utenti e la richiesta di consenso prima di procedere al trattamento dei dati personali. Con questa normativa si stabiliscono limiti al trattamento automatizzato dei dati personali, si delineano nuovi diritti e vengono stabiliti criteri molto rigorosi per il trasferimento dei dati al di fuori dell’UE.

Con il RGDP si stabilisce anche l’obbligo di comunicazione per i casi di violazione dei dati personali (data breach) e si introduce il “diritto all’oblio”. Imprese ed enti saranno esposti a maggiori responsabilità e, in caso d’inosservanza delle regole, sono previste sanzioni molto salate.

Se ti stai chiedendo se questa normativa riguarda anche i siti WordPress e Blogger, la risposa è sì. Questo regolamento introduce cambiamenti al trattamento dei dati su internet probabilmente epocali e devi chiederti, se non l’hai già fatto, se il tuo sito rispetta questa nuova normativa.

Per sapere cosa fare per rispettare il Regolamento UE 2016/679 GDPR “Regolamento generale sulla protezione dei dati”, continua a leggere questa guida. Ti daremo un punto di partenza per verificare se il tuo sito è in linea con la nuova normativa europea.

GDPR: Cosa fare per essere a norma con il nuovo Regolamento UE sulla protezione dei dati

legge privacy GDPR

Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito rispetti il nuovo regolamento UE 2016/679. Sul sito del Garante della Privacy puoi trovare una pagina informativa molto chiara e dettagliata e anche un calendario di incontri volti alla formazione degli addetti ai lavori.

Uno dei cambiamenti più evidenti e che probabilmente sarà maggiormente notato, è che tutti i visitatori del tuo sito ora dovranno confermare il consenso al trattamento dei dati personali. La prima cosa da fare per rispettare il GDPR è scrivere una informativa sulla privacy ben chiara e indicare che tipo di dati sono raccolti, archiviati, chi sono gli attori di questi processi e per quanto tempo i dati sono immagazzinati.

Questo nuovo approccio al trattamento dei dati personali si estende a tutti i siti che operano sul territorio dell’Unione Europea o che interagiscono con i cittadini dell’Unione Europea.

Con il nuovo regolamento cambia anche l’approccio ai cookies. Gli avvisi per l’utilizzo dei cookies vanno mostrati non appena si carica il sito (sono quindi di tipo preventivo) e l’utente deve avere la possibilità di scegliere se accettare i cookies o meno. Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione. Infine, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e il proprietario del sito deve mantenere un registro che provi lo stato del consenso per ogni utente.

Assistenza WordPress e SEO con SOS WP

Un aspetto importante è che con il regolamento RGDP (o GDPR in inglese), si vanno a regolamentare anche quei dati che non sono direttamente personali ma che possono comunque identificare o aiutare a identificare un individuo. Ovviamente questo approccio fa subito pensare a strumenti molto usati, tra cui Google Analytics, che utilizzano dati come l’indirizzo IP.

In sostanza il titolare del sito web sarà tenuto a proteggere i dati raccolti da terze parti e a fornire chiare informazioni ai visitatori del sito.

La nuova legge sulla privacy focalizza molto l’attenzione sul tipo di dati e contenuto memorizzato dai siti e su come questi elementi sono trattati, da chi, a che scopo, dove sono immagazzinati e per quanto tempo.

GDPR: cosa fare per garantire il diritto all’oblio

Con il nuovo regolamento UE, gli utenti del web avranno il “diritto all’oblio”. Con questo diritto si potrà ottenere la cancellazione dei propri dati personali anche online. Se un utente effettua questa richiesta, i responsabili dei dati sono tenuti a chiedere la cancellazione a chiunque li stia trattando (terze parti). Questo diritto può essere limitato solo in casi ben specifici, per esempio il diritto alla difesa in sede giudiziaria etc.

GDPR: cosa fare in caso di violazione dei dati personali (data breach)

Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore dal momento in cui ne viene a conoscenza. Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti. Se dovesse costituire un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati. Maggiori informazioni consultando gli articoli 32-34 del RGDP.

Non ti sei adeguato alla GDPR? Sanzioni molto salate

Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a 20 milioni di euro o al 4% del fatturato globale annuale. Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie

GDPR: cosa fare per controllare se il tuo sito rispetta il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”?

Checklist cose da controllare per il GDPR

Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti. Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico. Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.

Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi. Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:

  1. Servizio di Hosting e gestori:
    Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
  2. Backup:
    Dove e come sono salvati i backup del tuo sito?
  3. Plugin:
    Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati. I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
  4. Servizi esterni all’Unione Europea:
    Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il nuovo regolamento.
  5. Durata conservazione dati:
    Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
  6. Sicurezza:
    Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
  7. Marketing:
    Usi strumenti automatizzati per il marketing? Fai A/B testing?

Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step. Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.). Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.

Se identifichi dati personali a cui non dovresti avere accesso, rimuovili. Disabilita i plugin e i servizi che non rispettano il nuovo regolamento; cerca alternative se possibile.

Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.

Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.

Troppe informazioni? Ecco una sintesi

Riassumendo, il nuovo regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

  • Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati.
  • Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • Violazione dei dati: informa gli utenti se avvengono violazioni ai loro dati (data breach).

Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica che spiega come applicare il GDPR, ti sarà di grande aiuto.

Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.

La sicurezza dei dati degli utenti è sempre più importante. Impara come rimuovere i malware dai siti WordPress.

Conclusione

In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.

L’intervista con l’avvocato Leoncini ci ha permesso di soffermarci sui punti più importanti e chiarire ulteriori dubbi.

Molti webmaster storceranno il naso e saranno probabilmente infastiditi dai cambiamenti introdotti dal GDPR. Allo stesso tempo dobbiamo considerare la mole incessante di dati che vengono raccolti e trasmessi sul web.

Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili. Quanti casi di attacchi informatici sono stati comunicati con troppo ritardo, causando danni enormi a ignari cittadini? Quante volte i dati personali sono stati usati in maniera illegale per clonare identità, fare truffe o marketing invasivo? Basta ricercare questi argomenti su Google per farsi velocemente un’idea.

Tu cosa ne pensi?

Sei a favore di questo regolamento?

Non sai cosa fare?

Parliamone nei commenti.

Comprare un dominio e uno spazio hosting WordPress su SiteGround

Altre guide della stessa
categoria

40 COMMENTI
Commenta
  1. Luca

    Ciao, sono appena andato sul sito di Iubenda e vedo che sia nel piano Free che Pro c’è “Privacy e Cookie Policy” + la “Cookie Solution”.

    Significa che non serve più suddividersi tra Iubenda per la Privacy Policy e Cookiebot per la parte relativa ai cookie?

    Rispondi
  2. giuseppe

    Salve, sono un suo assiduo lettore. Le volevo chiedere questo. Ho un sito web con il quale fornisco servizi professionali, e sto pensando di implementare un sistema di prenotazioni. Ovviamente chiederò gli estremi del cliente tra cui l’indirizzo di dove deve essere effettuata la prestazione con ovviamente il consenso del cliente e i riferimenti alla Privacy Policy (redatta con Iubenda piano gratuito, per il momento). Le chiedo, secondo lei, sono soggetto a notifica garante con pagamento della somma richiesta (se non ricordo male 150 euro) oppure no ? Quanto sopra rientra nel campo della profilazione ? La Privacy Policy redatta prevede nel dettaglio trattamento dati la sezione esplicativa “contattare l’utente”.
    Ultima domanda. Se un cliente registrato mi dovesse chiedere la cancellazione dei suo dati cosa è sufficiente trasmettere allo stesso cliente ?
    Mi scusi se mi sono dilungato, ma non trovando risposte sufficientemente valide in rete, considerata la sua professionalità ho pensato di inviarle questo messaggio.
    Ringraziando anticipatamente si porgono cordiali e distinti saluti.

    Rispondi
    • Team

      Ciao Giuseppe, da quanto ci dici non riteniamo che tu sia soggetto al pagamento regolato dall’ultimo GDPR. Sarebbe però meglio che tu contattassi direttamente il nostro team tecnico per avere maggiori informazioni sull’argomento e per avere più delucidazioni su quali strumenti siano più adatti per le tue necessità. Rimaniamo a disposizione, un saluto e grazie del tuo commento!

      Rispondi
  3. Carlo

    Salve , ho visto che promuovete sul vostro sito l’hosting di siteground, ma sbaglio o sentivo dire che siteground non è compatibile con il gdpr dato che al contrario di aruba prevede il pagamento del site scanner, infatti senza quel servizio (SG sitescanner Malware Monitoring) siteground secondo la loro DPA, comunica violazioni entro le 72 ore, ma questo non permette ai titolari del sito di poter a loro volta comunicarlo ai propri clienti entro le 72 ore. Queste indicazioni lo avute da alcuni DPO che hanno escluso siteground come hosting conforme al GDPR.
    https://it.siteground.com/blog/siteground-ora-conforme-al-gdpr/

    Potete dirmi la vostra opinione?

    Grazie della risposta

    Rispondi
    • Team

      Ciao Carlo! la interpretazione del GDPR non ti è stata data correttamente. Le 72 ore non partono da quando il problema si verifica, ma da quando il titolare del sito ne è a conoscenza. Quindi, dopo che SiteGround ti informa della violazione avvenuta, puoi comunicarla (entro 72 ore) ai tuoi utenti. Speriamo di aver chiarito questo aspetto, rimaniamo a disposizione :)

      Rispondi
  4. Ale

    Ciao, vorrei sapere se avreste da consigliare qualche plugin gratuito e funzionante per soddisfare la GDPR.
    Ho un piccolo sito personale e ho provato con Cookiebot ma comunque richiede pagamento.
    Anche altri plugin presi dal repository di WP, dopo averli installati, si scopre che funzionano solo nella versione PRO oppure nella free non ci sono istruzioni e diventa impossibile maneggiarli.
    Avreste qualche dritta?
    Grazie in anticipo

    Rispondi
  5. Chiara

    Ciao a tutti. Ho delle domande perchè questo GDPR mi sta facendo esaurire. Ho un mini blog su wordpress.com, con un abbonamento personale che non mi permette di installare nessun tipo di plugin. Visto che si parla di plugin ovunque, vorrei sapere cosa deve fare chi come me non può installarli. Ho generato una cookie policy e una privacy policy con Iubenda. Ma ora cosa devo fare? Non ne ho la più pallida idea.
    Aspetto una vostra risposta miracolosa, grazie mille

    Rispondi
  6. cinzia

    io ho provato la form di cookiebot per il test di conformità per il sito questa mattina ….ma non ho ancora una risposta ;). qualcun altro ci ha provato?
    grazie

    Rispondi
  7. cinzia

    ciao
    interessante il tuo articolo. Mi rimane cmq un dubbio, un sito vetrina che non raccoglie dati, che non usa google analytics deve comunque utilizzare un plug in come cookiebot? Non capisco il motivo per quale motvo devo cmq utilizzare questo tipo di servizio?

    Invece se utilizzo il servizio di mailchip per le newsletter ho visto che si sono aggiornati inserendo un elemento nuovo nella form. Mi confermi?

    ti ringrazio anticipatamente

    cinzia

    Rispondi
  8. Diana

    Ciao ragazzi e grazie per le vostre preziose informazioni. Io ho un blog di viaggi per il momento amatoriale e mi chiedevo qual è la soluzione migliore da adottare, sono appena rientrata da un lungo viaggio e mi ero dimenticata di tutta questa storia. Comunque, in un caso come il mio in cui al momento non dispongo ancora la newsletter (ma vorrei farla) cosa mi conviene fare? Rivolgermi a Iubenda o è sufficiente qualche plugin?
    Grazie in anticipo e buona giornata

    Rispondi
  9. Erica

    Ciao, avrei bisogno di supporto per installare Cookiebot, al momento ho un banner fatto con plugin Cookie Notice con Accetta, Rifiuta e Leggi di più, oltre che una policy fatta con Iubenda Pro. Cookiebot continua a trovare inadeguato il consenso prioritario e non riesco a metterlo e adeguare in nessun modo. Grazie!

    Rispondi
  10. Cristiana

    Ciao Andrea, sto realizzando un e-commerce che deve ancora essere messo online, quindi parto con la nuova legge, fare da sola visto l’ammontare delle sanzioni mi sembra poco fattibile, hai qualche suggerimento? Non credo sia sufficiente aggiungere qualche plugin. Mille grazie

    Rispondi
Mostra più commenti

Lascia qui il tuo commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *